Weinig oog voor applicatie-monitoring netwerken
Bij de OM-hack dook de naam van Citrix op die via zijn oplossing NetScaler werknemers op afstand toegang geeft tot interne systemen. De Amerikaanse securitysoftware-leverancier behoort tot de top van ict-bedrijven waarbij aan de lopende band patches nodig zijn. Niet verwonderlijk dat Citrix de lijst aanvoert van meest misbruikte softwarekwetsbaarheden die de FBI, NSA en andere internationale cyberveiligheidsautoriteiten opstelde. Had het Openbaar Ministerie beter moeten weten?
Dat Citrix vaak in het nieuws is, komt doordat er tegenwoordig veel meer kwetsbaarheden worden gemeld dan vroeger, stelt Dimitri van Zantvliet, voorzitter van CISO Platform Nederland. ‘Dus moet je als it-organisatie ook rekening houden met veel meer patches. Hou dus de trends in de gaten, stel vast welke leveranciers veel last hebben van kwetsbaarheden en handel daar naar.’
Tegen een zero day kun je op zich weinig doen, behalve op tijd patches doorvoeren en de laatste softwareversies gebruiken, vervolgt Van Zantvliet. ‘Maar het gaat om veel meer dan remote access. Essentieel is dat je voldoende waterschotten in je netwerkomgeving hebt ingebouwd. Met andere woorden: zorg voor netwerksegmentatie, firewalls, early detection van anomalieën en 24uurs monitoring. Breng dus een gelaagde beveiliging aan zodat een hacker niet lateraal door je netwerk kan gaan.’
Daarnaast wijst de voorzitter van het Ciso-platform op twee andere noodzakelijke acties bij het beveiligen van je netwerkomgeving: encrypt je belangrijke bestanden en regel een backup- en recovery-mechanisme.
Statelijke actoren
Het AD meldde dat hoogstwaarschijnlijk Rusland achter de cyberaanval op het OM zit. Het zou Van Zantvliet niets verwonderen. De statelijke actoren hebben het voortouw genomen bij cyberaanvallen, daar waar het zo’n tien jaar geleden de script kiddies en de pukkelige nerds waren die instellingen aanvielen. ‘Dat blijkt ook uit de ‘dreigingsanalyse vitale infrastructuren’ die het NCTV net heeft uitgebracht. We zullen met elkaar meer intelligence moeten uitwisselen en er is een grotere rol van de overheid nodig. Regelgeving als NIS2 en de Wwke helpen daarbij. Organisaties in de vitale sector kunnen het niet in hun eentje bolwerken.’
‘Feitelijk kunnen we nu nog alleen constateren dat er bij het OM te laat is gepatcht. Voor de hand liggende oorzaken aanwijzen is te makkelijk. We weten gewoon niet wat daar gebeurd is. We weten ook niet eens wat de scope is,’ relativeert Erik de Jong, chief research officer (cro) van cybersecuritybedrijf Tesorion. ‘Het OM heeft het eigen systeem onderzocht, daar zijn sporen van een aanval gevonden, en daarna heeft het OM besloten zichzelf af te sluiten en onderzoek te gaan doen.’
Een bocht missen
Wat het OM uiteraard ‘gewoon’ had móeten doen is die patch op tijd installeren, vindt De Jong. Al wil hij het op dat punt opnemen voor organisaties zoals het OM. ‘Het lijkt zo simpel, je hebt een patch en die moet je gewoon installeren. Maar het is behoorlijk complex om zo’n omgeving continu up-to-date te houden. Dat is uiteraard geen excuus, maar organisaties hebben dagelijks te maken met meerdere patches die zij moet uitrollen. Ze moeten daar prioriteiten in aanbrengen.’
De vraag is, stelt de Tesorion-cro, of het bij het OM een chaos is of dat het de boel netjes op orde heeft en dat dit gewoon een foutje was. ‘Want dat kan: zelfs de beste autocoureur mist wel eens een bocht.’
Of het OM te laat heeft gereageerd na het specifieke alert van het NCSC kan CISO Platform Nederland-voorzitter Van Zantvliet niet goed beoordelen. ‘Het hangt er ook vanaf of er logfiles zijn. Als je die hebt, moet je ze eerst correleren, dat kost tijd. Ik wens ze allereerst een spoedige recovery toe.’
Applicatie-monitoring
Netscaler is al ruim vijfentwintig jaar oude technologie, maar op zich nog steeds een prima oplossing mits je op tijd de patches doorvoert, als die er zijn, zegt een aantal cybersecurity-experts van Computable. Het is lange tijd populair geweest omdat het een goede oplossing is voor de standaard werkplek. Daarom is Netscaler nog veelvuldig terug te vinden bij onder meer de rijksoverheid, gemeenten, zorginstellingen en banken.
Citrix was altijd een gevestigde naam op gebied van remote access maar de vraag is of dat blijft met de nieuwere zero-trust- en ai-native oplossingen die de markt bestormen, zegt Van Zantvliet. Dat soort oplossingen combineert netwerk- en beveiligingsfuncties in één cloudplatform, centraal geregeld en ai-gestuurd. Dat zijn in zijn ogen toekomstbestendige oplossingen.
Alleen, wijzen de Computable-experts erop, applicatie-monitoring is nog niet zo gebruikelijk in de netwerk-wereld. Het probleem bij Citrix Netscaler is de manier waarop wordt ingelogd. Het is een applicatieve oplossing, logs worden in een soc meestal niet bijgehouden. Dat gebeurt vooral bij oplossingen die direct aan het netwerk zijn gelinkt, zoals firewalls en endpoint solutions. De it-organisaties zouden hierover, zeker na de hack bij het OM, goed over moeten nadenken: moeten zij hun beveiligingsbeleid hierop aanpassen en dit ook monitoren?
Schaarste en budget
Bijkomende vraagstukken zijn de schaarste aan ciso’s (een weinig populaire functie met veel verantwoordelijkheid) en budgettering. Recent organiseerde bijvoorbeeld securitybedrijf NFIR een bijeenkomst voor lokale overheden over cyber-crisissimulatie. Daar bleek onder andere dat het securitybudget een probleem kan worden voor gemeenten. De top 15 heeft nog wel budget, maar daaronder wordt het tobben.
Een algemene tip voor organisaties is om aan hun cybersecurityleveranciers constant vragen te stellen over patches en updates. Én om daarna de antwoorden te checken, aldus de Computable-security-experts.
Met medewerking van Bouko de Groot.
Ik geloof niet dat de statistiek van Dimitri opgaat als de andere oplossingen door een betere kwaliteitscontrole een lager aantal kwetsbaarheden hebben. Het verschil tussen veilig ‘by design’ en ‘by patch’ zit namelijk in het ontwerp omdat complexiteit geen excuus is. Zero Trust gaat om de extra maatregelen die je moet nemen omdat het product dat je moet beschermen er niet in voorziet waardoor je telkens moet patchen. En deze updateritis is een grote beheerlast waardoor je altijd op achterstand staat.
Het is niet de coureur die een bocht mist maar een circuit vol bochten wat afgelegd moet worden met een auto die wat veiligheidsopties mist. Want hopen op een patch en intussen vertrouwen op de mitigaties die niet werken gaat om het semantische verschil tussen beheerbaar en beheersbaar. En de Zwarte Piet is dus in de eerste plaats voor de CISO die veiligheid als een product ziet. Een euvel wat niet voorkomt uit schaarste aan CISO’s maar uit een gebrek aan kennis van de infrastructuur, het bochtige circuit waar weleens een bocht afgesneden wordt.
Verify, don’t trust door het antwoord op de vragen te controleren middels testen klinkt als terug in de tijd als het om kwaliteitscontrole gaat. Budgettaire problemen oplossen door bochten af te snijden is vol gas rechtdoor want dat veiligheid geld kost blijkt wel uit het verhogen van het defensiebudget want de Zwarte Piet wordt doorgeschoven.